Het nieuws over de takedown van Emotet ging eerder dit jaar de wereld rond. Maar in plaats van opluchting heerst er nu bezorgdheid dat de malware slechts het begin is van een nieuwe reeks aanvallen die bekend staat als Ransomware as a Service (RaaS).
Emotet heeft sinds zijn eerste verschijning in 2014 talloze netwerken van particulieren, bedrijven, overheden en instellingen geïnfecteerd. Alleen al in Duitsland werden bijvoorbeeld het ziekenhuis in Fürstenfeld (Beieren), het gerechtshof van Berlijn, de universiteit van Gießen en de stad Frankfurt am Main getroffen. In principe kunnen we ervan uitgaan dat het aantal niet-gemelde gevallen waarin organisaties het slachtoffer worden van een cyberaanval – hetzij door Emotet, hetzij door andere malware – veel hoger ligt dan de gepubliceerde statistieken suggereren. Uit angst voor reputatieschade aarzelen veel bedrijven om een aanval te melden.
Moeten bedrijven zich nu voorbereiden op het RaaS-tijdperk?
Volgens beveiligingsexperts, zoals de federale recherche, was Emotet de gevaarlijkste malware die tot nu toe wereldwijd is geregistreerd. Dit is enerzijds te wijten aan het feit dat Emotet in staat was gedurende lange tijd heimelijk te opereren met behulp van gesofisticeerde ontwijkingstechnieken, en anderzijds – en hier wordt het bijzonder hachelijk – aan het feit dat de gekaapte bedrijfstoegangen op het Darknet aan derden werden verkocht als Ransomware as a Service. De cybercriminaliteitsmethode wordt ook wel malware-as-a-service of cybercrime-as-a-service genoemd. Maar zelfs ongeacht de terminologie vertegenwoordigt Emotet de geboorte van een nieuw dienstenmodel waartegen bedrijven zich moeten wapenen om zich te verdedigen. RaaS fungeert als een soort toegangspoort tot computersystemen en kan worden gekocht door iedereen die bereid is de vraagprijs te betalen. Zo hebben zelfs “amateurcriminelen” zonder diepgaande kennis van programmeren de mogelijkheid chantagecampagnes op te zetten. Voor degenen die erachter zitten, is deze business niet alleen lucratief, maar nemen ze tegelijkertijd een lager risico omdat de chantage zelf afkomstig is van andere criminelen.
Cyberdiensten veroveren het darknet
Het darknet is een soort ongereguleerd wild westen van het internet en een marktplaats voor de uitwisseling van illegale goederen en diensten. Met behulp van anonimiseringstechnologieën en digitale valuta kan hier op mondiale schaal handel worden gedreven en kunnen rechtshandhavingsinstanties deze activiteit vaak slechts in beperkte mate volgen. Ook aan de handel in RaaS lijkt met de ontmanteling van Emotet geen einde te zijn gekomen. Integendeel: IT-specialisten hebben de eerste recyclagemodellen van de Emotet-infrastructuur al geïdentificeerd. De DarkSide en TrickBot malware zijn bijvoorbeeld al op de radar verschenen. Net als Emotet werken beide bedreigingen volgens het RaaS-principe. In deze gevallen gaan de mensen achter de bedreigingen zo ver dat ze niet alleen de bestanden van geïnfecteerde systemen versleutelen, maar de slachtoffers ook bedreigen met de onthulling van bedrijfsgeheimen als ze niet betalen. Deze vorm van chantage is in principe geen nieuw fenomeen, maar deskundigen vrezen dat dergelijke gevallen in de toekomst vaker zullen voorkomen – niet in de laatste plaats vanwege de nieuwe mogelijkheden die RaaS bieden.
Dreigingen à la Emotet, DarkSide of TrickBot kunnen in het beste geval met finesse en geduld worden gestopt, maar net als bij elke andere technologische ontwikkeling bouwen de vijandige actoren voort op het fundament van reeds bestaande codes en methoden. Dit betekent dat er ook in de toekomst nieuwe aanvalsmethoden zullen komen, in steeds professionelere gedaanten. Ransomware zal ook complexer worden en moeilijker te detecteren.
Ransomware: een groeiende bedreiging voor bedrijven van alle groottes
Bedrijven moeten het risico niet onderschatten dat ze op een dag zelf het slachtoffer worden van een ransomware-aanval van het kaliber van Emotet. Volgens een studie van beveiligingsleverancier Sophos werd 47 procent en dus bijna de helft van de ondervraagde kleinere bedrijven (100-1000 werknemers) vorig jaar getroffen door een ransomware-incident. Bij grotere bedrijven (1001-5000 werknemers) was dat zelfs iets meer dan de helft, namelijk 54 procent. Een derde van de getroffen bedrijven had ongeveer een week of langer nodig om hun gekaapte gegevens te herstellen. De kosten in verband met een dergelijke bedrijfsonderbreking kunnen enorm zijn.
Wat kunnen bedrijven doen om zich te beschermen?
Om ransomware-aanvallen te voorkomen, zijn er verschillende manieren die IT-professionals in bedrijven ter harte moeten nemen, zoals
- back-ups maken van kritieke gegevens met een veilige cloudback-up of offline-oplossing,
- verbetering van de cyberbeveiligingstraining voor werknemers,
- besturingssystemen en toepassingen regelmatig bijwerken,
- de nieuwste beveiligingspatches installeren en
- waar mogelijk gecodeerde protocollen zoals SSL gebruiken.
Daarnaast moeten bedrijven voorbereid zijn op het feit dat een cyberaanval op elke dag en op elk moment kan plaatsvinden. Daarom is het zinvol het interne beveiligingsteam aan te vullen met Managed Detection and Response (MDR). Met MDR wordt het bedrijfsnetwerk de klok rond bewaakt door externe deskundigen die mogelijke schade onmiddellijk kunnen opsporen en beperken. Een dergelijk systeem voor vroegtijdige waarschuwing, dat 24 uur per dag actief is, is ook belangrijk vanuit het oogpunt dat versleutelingen en systeemvergrendelingen uiterst moeilijk ongedaan te maken zijn wanneer ze eenmaal zijn geactiveerd.
We moeten ervan uitgaan dat ons ook in de toekomst nieuwe bedreigingen te wachten staan, vooral omdat er modellen zoals RaaS in omloop zijn. Omdat de professionals onder de cybercriminelen nu gezelschap krijgen van digitale kleine criminelen in de afpersingsscene. Automatisering en machinaal leren zorgen ook voortdurend voor nieuwe en verbeterde varianten van aanvalsmethoden zoals phishing of social engineering. Het is dan ook absoluut noodzakelijk dat bedrijven zorgen voor effectieve beveiligingssystemen en -processen, en een blik op moderne beveiligingsoplossingen zoals MDR is dan ook onmisbaar.
Over de auteur: Moritz Mann is Chief Strategy Officer bij Open Systems. Hij studeerde aan de coöperatieve rijksuniversiteit van Baden-Wuerttemberg (DHBW) en in Londen en heeft een graad in bedrijfsinformatica en bedrijfskunde.